Schlechte Kunde muss die Online-Genealogie-Plattform MyHeritage verkünden. Die wurden von einem Sicherheitsforscher informiert, dass es Kundendaten von MyHeritage auf einem privaten Server geben würde. Bedeutet: Die sind wohl irgendwie dahin gekommen. Das Sicherheitsteam von MyHeritage prüfte die Daten und musste zugeben, dass diese tatsächlich von Kunden stammen – und zwar von allen, die sich bis zum 26. Oktober 2017 bei MyHeritage angemeldet haben.
Die Datei enthält die E-Mail-Adressen der Nutzer und die gehashten Passwörter. MyHeritage speichert laut eigener Aussagen keine Benutzerkennwörter, sondern einen einseitigen Hash jedes Kennworts, bei dem der Hash-Schlüssel für jeden Kunden unterschiedlich ist.
Das bedeutet, dass jeder, der Zugriff auf die Hash-Passwörter erhält, nicht über die eigentlichen Passwörter verfügt. Wie viele Datensätze der Angreifer erlangte? Von allen Benutzern bis zum besagten Datum eben – und das sind 92.283.889 registrierte.
Es gibt zum jetzigen Zeitpunkt wohl keinerlei Indizien, dass andere MyHeritage-Systeme kompromittiert wurden. Stammbäume und DNA-Daten würden auf anderen Servern liegen und die Zahlungen der Mitglieder werden über Drittanbieter wie PayPal abgewickelt. MyHeritage ist in Behörden in Kontakt, um den Fall genauer zu untersuchen. Des Weiteren wolle man die Arbeit an der Zwei-Faktor-Authentifizierung beschleunigen. Falls sich jemand als Kunde informieren will, der findet alles weitere in diesem Beitrag.
Auch wenn das nun nicht hilft: Selbst wenn Angreifer keine Passwörter erbeuten, so ist es doch ratsam, für jeden Dienst ein anderes Passwort zu nutzen. Und: Sofern möglich, setzt auf die Zwei-Faktor-Authentifizierung.